Public IP Routing

Als je ISP je niet meer IPS geeft dan gaat dat niet lukken natuurlijk. Ook niet met een Managed Switch daar doe je dingen mee zoals VLANS etc.

Je zou wel als je een Mikrotik router / Ubiquiti Edgerouter hebt of PFSense naar ExtraIP kunnen kijken.

Ze hebben nu ook een nieuwe dienst met een boxje van hun voor oets van 2tientjes per maand: XS-Anywhere is de naam volgens mij.

Wij hebben een klanten en op kantoor diensten van ExtraIP en werkt prima👌

Maar wat is nu het probleem ? Heb je niet genoeg publieke IP's ? Want je schrijft "dit wil zeggen dat er op de inkomende lijn 6 publieke IP's beschikbaar zijn"
So ?

Vraag aan je ISP gewoon bijkomende (publieke) IP's. Als je een business-subscriptie hebt moet dit zeker geen probleem zijn.
Is je router ook "ISP managed" (kan zijn) of controleer je die zelf ? Want mogelijks moet je daar ook op ingrijpen afhangkelijk hoe de setup gedaan is.

Met een professionele firewall kun je dit centraal en veilig inregelen, als je dit met switches gaat doen en je servers dus direct publiek inprikt zijn ze volledig "exposed" op internet en moet je dus ook alles op individuele servers in de gaten gaan houden c.q. managen met alle aanvullende risico's van dien.

Tevens moet je ook even kijken waar de servers voor zijn, als ze allemaal dezelfde dienst aan gaan bieden kun je over het algemeen beter met een loadbalancer werken, dan kun je al deze servers namelijk ook vaak op 1 ip hosten en hou je meer publieke resources over.

Bijkomend voordeel is dan vaak dat je de versleuteling ook op de firewall kunt laten uitvoeren en dus certificaat management ook op een enkele plek kan plaatsvinden, als je dan tussen loadbalancer en webserver niet versleuteld kun je daar ook content features toepassen zoals IPS om zo je servers nog beter te beschermen.

[ Voor 48% gewijzigd door mash_man02 op 17-10-2020 10:26 ]

Als ik het goed en begrijpend lees is elke switch prima.

Stel even, je ISP deelt jouw een public subnet uit:

123.1.40.32/28

Dus 16 ip's, waarvan minimaal 1 van de ISP is (als gateway) en je dus minus network/broadcast dus 13 kan gebruiken tenzij (zie onder)
Je kan met die switch op de inkomende ethernet lijn de 3 servers aansluiten

1e server (je bestaande): 123.1.40.34
2e server (nieuwe): 123.1.40.35, secondair adres 123.1.40.36
3e server (nieuwe): 123.1.40.37, secondair adres 123.1.40.38

Dus, je moet eigenlijk eerst even informeren bij je ISP. Welke adressen zijn er nou echt vrij en te gebruiken? Voor hetzelfde hebben ze naast de gateway '123.1.40.33' ook nog 2 VRRP adressen bijv de .45 en .46 (laatste van het blok).

En dan is en unmanged switch al voldoende. Uitgaande van dat ze de ethernet lijn 'untagged' afleveren, dus zonder vlan tags. Zowel, dan is een managed switch wel praktisch. Alle server poortjes en je ethernet lijn in hetzelfde vlan (vraag je ISP even welke) en klaar is u.

disclamer; subnet eerder genoemd is natuurlijk fictief

Wat voor diensten bied je aan? Waarom zijn de meedere ip-adressen per server nodig?

Kun je niet met een reverse proxy uit de voeten, of in een combinatie met host-headers op de servers?